Benutzer "einsperren"

Post by **talknet** » 2004-07-19 16:27

Hallo,
ich hätte da mal ne Frage: Ich möchte Benutzer benutzer im Verzeichnis /home/benutzer/ einsperren, also das für ihn /home/benutzer/ das Verzeichnis / ist.

Ich dachte sofort an chroot, aber die man page war nicht sehr aufschlussreich.

Post by **dodolin** » 2004-07-19 16:32

Ich möchte Benutzer benutzer im Verzeichnis /home/benutzer/ einsperren, also das für ihn /home/benutzer/ das Verzeichnis / ist.

Warum?

Post by **talknet** » 2004-07-19 17:14

Weil alles andere für ihn uninteressant ist. Er darf einfach nicht tiefer. Um genauer zu sein ist es ein Hostingpanel in der Entwicklung. Der Benutzer cpuunderground hat sein www verzeichnis in /hostadmin/reseller/main/cpu-underground.com/ , und für ihn soll beim SSH Login /hostadmin/reseller/main/cpu-underground.com/ als / Verzeichnis dienen, tiefer soll er nicht.

Ich les in einer der zigtausenden Threads die die Suche geliefert hat etwas con sshonly oder so.. könnte das etwas sein ? ich seh nämlihc nicht was es genau macht.

Post by **dodolin** » 2004-07-19 17:52

Du meinst wohl scponly, aber das ist ja nur für SCP, nicht für interaktiven Login. Deine Vermutung mit "chroot" war schon richtig. Vielleicht mal im Web nach diversen Howtos dazu suchen, wenn die manpage nicht weiterhilft...?

Post by **talknet** » 2004-07-19 18:01

Naja, das was in der Man steht hat mich was verunsichert :

NAME
chroot - Kommando oder interaktive Shell mit speziellem Wurzelverzeich-
nis laufen lassen

Ã?BERSICHT
chroot NEUEROOT [BEFEHL...]
chroot OPTION

BESCHREIBUNG
Führe BEFEHL aus mit Root-Verzeichnis auf NEUEROOT gesetzt.

--help gib diese Hilfe aus und beende Programm

--version
gib Versionsinformation aus und beende Programm

Wurde kein BEFEHL angegeben, führe ${SHELL} (Standard: /bin/sh)
aus.

Ich werd da nicht draus schlau , ich will ja das nicht nur für nen einzelnen befehl machen.

Post by **dodolin** » 2004-07-19 18:03

oder interaktive Shell mit speziellem Wurzelverzeich-
nis laufen lassen

Also?!

Post by **talknet** » 2004-07-19 18:52

Ich probiers aus.. Ich trag doch schon ne Brille.. ich krieg zuviel.. Aber trotzdem keine Idee wie ich es anweden kann.. ich such mal nach HowTos.

Post by **captaincrunch** » 2004-07-19 20:38

Stichworte: scponly, rssh, oder (wenn's dann doch unbedingt ein Login sein soll) das Chroot-Login-Howto.

Post by **snowstorm** » 2004-07-19 21:07

was passiert eigentlich wenn ein user innerhalb eines chroot mit insmod versucht ein modul einzufügen?

kann er ja vorcompiled rein theoretisch alles in seine sandbox hochschieben

Post by **captaincrunch** » 2004-07-19 21:21

Ich sag's gerne immer wieder: ein chroot an sich hält heutzutage nicht mal mehr alls Scriptkiddies ab ( siehe dazu auch (z.B.) http://www.linuxsecurity.com/feature_st ... ry-99.html ). In Verbindung mit zusätzlichen Patches (z.B. aus dem GRSecurity-Projekt) lässt sich die Sicherheit aber erheblich verbessern (keine chroot-im chroots, usw).

Post by **dodolin** » 2004-07-19 22:26

was passiert eigentlich wenn ein user innerhalb eines chroot mit insmod versucht ein modul einzufügen?

Auch in einem chroot ist der User ja nicht UID 0, sondern User XY. Konnte jemals ein User != UID 0 per insmod Module laden (ohne jetzt per Exploit zu UID 0 zu werden)?

Post by **captaincrunch** » 2004-07-20 08:34

Konnte jemals ein User != UID 0 per insmod Module laden (ohne jetzt per Exploit zu UID 0 zu werden)?

Auch wenn's vielleicht jetzt nicht direkt auf Rootserver bezogen ist: schon mal überlegt was passiert, wenn du auf deiner Workstation ISO9660-Support nur als Modul einkompiliert hast, dieses nicht bereits geladen ist, und du eine CD (als User) mountest? ;)

Post by **dodolin** » 2004-07-20 11:00

schon mal überlegt was passiert, wenn du auf deiner Workstation ISO9660-Support nur als Modul einkompiliert hast, dieses nicht bereits geladen ist, und du eine CD (als User) mountest?

Das funktioniert aber nur, wenn root in /etc/fstab explizit erlaubt hat, dass der User das darf und beschränkt sich dann auf das iso9660 Modul. Insofern sehe ich jetzt nicht, dass das direkt etwas mit meiner Aussage zu tun hätte. ;)

Post by **talknet** » 2004-07-20 11:53

Kann man eigentlich bestimmte Befehle für bestimmte Benutzer verbieten ? Dann würd sich das Problem ja haben.

Post by **snowstorm** » 2004-07-20 20:00

hatt mich eben vieleicht etwas missverständlich ausgedrückt *g

das mit dem insmod sollt nur ein beispiel sein, war wohl eher ein griff ins klo - aber egal...

wollt damit nur sagen, dasses einen nicht daran hindert aus dem chroot auszubrechen, bzw. anderen unfug damit anzustellen...

gibt ja au die möglichkeit devices etc... anzulegen usw...

Post by **captaincrunch** » 2004-07-21 08:34

wollt damit nur sagen, dasses einen nicht daran hindert aus dem chroot auszubrechen, bzw. anderen unfug damit anzustellen...

Siehe den von mir geposteten Link weiter oben. Ist nur einer unter vielen. ;)

RootForum Community

Benutzer "einsperren"

Benutzer "einsperren"

Re: Benutzer "einsperren"

Re: Benutzer "einsperren"

Re: Benutzer "einsperren"

Re: Benutzer "einsperren"

Re: Benutzer "einsperren"

Re: Benutzer "einsperren"

Re: Benutzer "einsperren"

Re: Benutzer "einsperren"

Re: Benutzer "einsperren"

Re: Benutzer "einsperren"

Re: Benutzer "einsperren"

Re: Benutzer "einsperren"

Re: Benutzer "einsperren"

Re: Benutzer "einsperren"

Re: Benutzer "einsperren"